【协会分享】智能合约形式化验证

最新推荐文章于 2022-03-06 17:40:14 发布
最新推荐文章于 2022-03-06 17:40:14 发布
阅读量741 收藏 1
点赞数

什么是智能合约,什么又是形式化验证?

什么是智能合约

It's a Title Here

一个智能合约是一套以数字形式定义的承诺(commitment),包括合约参与方可以在上面执行这些承诺的协议。在区块链技术领域就是一段运行在区块链上的有多方参与的代码。最经典的例子是公开拍卖。

智能合约可以看做一个解决某个问题的程序,但是因为运行在区块链上,因为区块链的不可逆转特性,所以需要较一般程序更高的安全性要求,需要更严格的方法确保安全。

举个利用智能合约进行游戏的例子,现在有两个人A,B在玩游戏,两人先分别抵押2比特币,然后再下注一比特币,然后A和B分别在0和1里面进行选择一个数字,分别退回他们的押金,然后如果他们两个人选的数字相同,则A得到两个比特币,如果数字不同,则B得到两个比特币。

现在我们只考虑A,A要么在一定时间内向全网广播一个他选择的value的哈希值,然后广播他的value,要么在过了一段时间t之后,没有反应而因为超时受到惩罚,即其押金会转移给B。

我们可以利用智能合约完成这样的一个有着明确规则的过程。

软件测试

It's a Title Here

软件测试的标准定义:在规定的条件下对程序进行操作,以发现程序错误,衡量软件质量,并对其是否能满足设计要求进行评估的过程。

主要过程包括静态分析测试、动态分析测试、黑盒测试和白盒测试

黑盒测试不用考虑内部结构,是从使用者的角度进行的测试

白盒测试需要对程序内部考虑,程序执行流程图内的每一条路径都要考虑到,每个分支语句,每个判断语句都要分别进行测试

一个软件测试的进行分为制定测试计划->进行测试设计->测试开发->执行测试->测试评估等过程

如果要正确的进行黑盒测试,软件规格说明书一定要正确,但是但很难完全正确,同时不可能对程序进行毫无遗漏的测试

如果要正确的进行白盒测试,测试用例要全面,但是代价昂贵,容易遗漏

以上所说的黑盒测试和白盒测试会占用大量的人力物力财力,庞大的工作量产出繁杂的报告,但是正确性得不到完全保证。

一般的软件开发,项目经常延误,预算经常超支。开发的后续阶段会发现很多前期错误,代价高昂,更可怕的是,如果是运行了很久的智能合约,很有可能会发生类似于DAO漏洞的重入攻击。

DAO漏洞的原因:在以太坊上运行的智能合约在涉及到以太币的转移时,如果合约内部没有处理以太币转移的函数,则会自动调用fallback函数,当恶意用户在智能合约的fallback函数再次转移以太币时,会形成转移以太币然后调用fallback函数的循环,导致合约内的以太币不断转入用户地址。

形式化验证

It's a Title Here

目前形式化方法的主要研究对象是计算机系统的设计和验证,其主要目的是帮助工程师构造正确可靠的计算机系统,形式化方法最基本的特点是利用数学的概念、方法和工具来解决设计的正确性问题,作为形式化方法的主要数学基础包括各种逻辑学、集合论、代数理论、图论。

我们举coq的例子为例,如果要证明对于任意布尔变量,not(not b)=b,如果b是布尔变量,我们可以先destruct,将b分解为0,1,对两个值分别求结果进行验证。(coq就是一个数学证明的过程)

继续举刚才的游戏例子。   

比特币对智能合约的支持并不是很好,一般是通过比特币脚本在比特币系统加入智能合约。所以,《BitML: A Calculus for Bitcoin Smart Contracts》论文即是对于比特币系统上的智能合约(或者比特币脚本)建立的形式化验证语言。

下面是《BitML: A Calculus for Bitcoin Smart Contracts》论文中形式化验证的例子:

在其特定编译器里,上述代码的意思是PayOrRefund函数有两种结果,要么在A的允许下,B将合约中的比特币拿走,要么,在B的准许下,A将合约中的比特币拿走。

上述代码的意思是:当A和B都因超时而违规时,需要管理人员的介入,在上述例子中,0.1比特币将转入管理人员M的账户中,余下的0.9比特币将在M的授权下,进入A或B的账户。

上述代码的意思是我们上述合约的形式化:

首先,如果B没有违规,在规定时间内向全网广播了其value的哈希值和value值,那么B可以收回押金。同理,A也一样。当A,B都广播了其哈希值和value值时,如果value值相同,则A可以获得2比特币,如果value值不同,则B可以获得2比特币。

对于上述的形式化语言,论文中自行设计了一个编译器,用来专门编译上述的语言。

形式化验证对智能合约的意义

形式化验证并不能完全确保系统的性能正确无误,但是可以从逻辑上最大限度地理解和分析系统,并尽可能地发现其中不一致性、模糊性、不完备性等错误。形式化验证可用来消除高风险代码漏洞。

形式化验证对软件测试的意义

减轻人力物力的使用

相比于其他测试,形式化验证更加可靠

本次分享人:刘长硕

编辑:杨佳妮

weixin_37097665
关注
形式化验证缓解智能合约漏洞
以太猫的博客
06-18 525
Solidity已经支持对未调用其他合同的某些智能合约进行正式验证。当然,这不包括任何转让代币的合约。 下面的Solidity合同模拟了一个原始的众筹合约,该合约可以持有Token,某些人可以根据其股份提取Token。它缺少实际的访问控制,但此处要说明的要点如下: 您不能通过递归调用漏洞或任何其他方式提取最多的代币。允许递归调用,但是合约仍然可以处理它们。 更具体地说,在合约的整个生命周期中,总余额和代币之间的差额是恒定的。因此,这种差异是所谓的不变性。 在Solidity端您需要做的就是将此不变式添加为合
智能合约形式化描述、分析和验证
weixin_43365492的博客
09-02 3426
摘要 目前数字经济正在向可编程经济时代演进,智能合约对可编程经济起着重要的推动作用,但其应用却面临着种种问题。随着平台级应用的普遍化,智能合约涉及的金额呈指数级别增长,如果其代码存在漏洞,则可能会遭到攻击,造成巨额损失,为防止类似事件发生,提出了运用形式化方法提高智能合约的安全系数的方法。 一、智能合约简介 智能合约smart contract)这个术语至少可以追溯到1995年,是由多产的跨领域...
c++ eos智能合约开发_全球首个基于EOS智能合约形式化验证项目取得突破性进展...
weixin_33577842的博客
01-07 269
2019年5月28日,Starteos与电子科技大学共建的“区块链技术研究与应用联合实验室”开展第二阶段项目成果汇报,这个人人惊艳的全球首个基于EOS智能合约形式化验证项目取得突破性进展。区块链技术研究与应用联合实验室成立于2018年4月18日,立志于为区块链行业输送顶尖人才,推动区块链技术快速发展。了解更多详情请戳:【重磅】Starteos与电子科技大学达成战略合作伙伴关系,强强联合共同推动区...
成都链安科技CEO &创始人杨霞:解决智能合约的安全问题,形式化验证是个“利器”!
CSDN研发技术
06-03 8347
2018年6月3日,由中国IT技术社区CSDN和专注以太坊生态建设的领先企业灵钛科技主办,以太坊爱好者社区、柏链道捷、火星财经、金色财经、Unitimes、区块链大本营协办的「2018以太坊技术及应用大会·中国」在北京·悠唐皇冠假日酒店举行,此时演讲已过半,但精彩始终不停歇! 本次大会围绕以太坊生态、以太坊核心技术、以太坊优质应用展开,邀请了众多国内外顶级开发者、以太坊团队核心成员以及顶级项目负...
201806 智能合约安全之形式化验证研究报告.pdf
06-27
201806 智能合约安全之形式化验证研究报告.pdf
Fortis-Amyna模型:基于区块链的跨境金融交易智能合约模型
⃝可在www.sciencedirect.com上在线获取ScienceDirectICTExpress 7(2021)269www.elsevier.com/locate/icteFortis-Amyna-跨境金融交易的智能合约模型Kommu Narendra,G.阿吉拉计算机科学与工程系,国家技术学院...
智能合约减少社交媒体骗局传播的方法
沙特国王大学学报一个智能合约逻辑,以减少社交媒体上的骗局传播Franklin Tchakountéa,Koudanbe Amadou Calvina,Ado Adamou Abba Arib,c,David Jaures Fotsa MbogneaaNgaoundere大学数学和计算机科学系,P.O....
"智能合约减少社交媒体中骗局传播
沙特国王大学学报一个智能合约逻辑,以减少社交媒体上的骗局传播Franklin Tchakountéa,Koudanbe Amadou Calvina,Ado Adamou Abba Arib,c,David Jaures Fotsa MbogneaaNgaoundere大学数学和计算机科学系,P.O....
以太坊智能合约与链外数据互联技术原理
智能合约是一种以代码形式存在的计算机程序,能够在区块链上自动执行、控制、验证或协调合约中的交易。它们被用于实现协议,并且在没有第三方的情况下执行交易。 ## 1.2 以太坊智能合约介绍 以太坊智能合约是基于...
智能合约技术发展研究报告》重磅发布(附全文下载) | 陀螺研究院
陀螺财经
04-08 813
10·24重要讲话精神强调要强化基础研究,提升原始创新能力,努力让我国在区块链这个新兴领域走在理论最前沿、占据创新制高点、取得产业新优势。要推动协同攻关,加快推进核心技术突破,为区块链...
构造形式化证明,解决智能合约安全问题——你的合约亟待证明
SECBIT区块链安全实验室
07-07 1533
安比(SECBIT)实验室与 Consensys 中国、轻信科技等团队联手,在智能合约安全的形式化证明领域展开深度合作。 智能合约安全问题始终是萦绕在数字货币各个项目方、开发者和投资者心头的一颗定时炸弹。越来越多的安全团队积极参与,试图通过更完备手段来解决合约安全问题。安比(SECBIT)实验室认为,形式化验证与传统的“测试+审计”方式相结合,将会是保证智能合约安全强有力的手段。 7月7日...
智能合约形式化验证工具真能解决问题么?
JinxMow的博客
11-29 1249
智能合约形式化验证过程中,需要专业的编程人员对不同模板的智能合约进行特征分析、模型建立和模型验证。现在市场上出现了一些一键式的智能合约形式化验证工具,据说可以最大程度的减少验证程序、发现bug,提高工作效率。这种一键式的智能合约形式化验证工具真的有效么?为了求真笔者做了一个测试。 本次笔者测试选择的是成都链安研发的离线版免费验证工具Beosin-VaaS。我们基于VSCode的插件市场安装一个...
区块链全栈工程师指南第5课——深度解析智能合约漏洞及防范措施
07-25
区块链全栈工程师视频培训教程,该教程为第五课时,讲解区块链安全领域的现状,分析黑客是如何攻击区块链平台的智能合约,针对安全问题对智能合约进行形式化验证,并实操验证出以太坊、EOS智能合约及区块链相关漏洞,后作出分析及总结。
signature=7bc41961235756517b1043d69a241a65,Top-Blockchain-paper
weixin_28882907的博客
05-30 1639
Top-Blockchain-paperCollect blockchain academic papers and welcome your contributions.NEWS! update S&P 2020(April 13 2020)NEWS! update USENIX security 2020(April 13 2020)NEWS! update NDSS 2020(Mar...
智能合约和形式验证
架构文摘
03-10 3097
在之前一篇关于人工智能的文章(http://www.yinwang.org/blog-cn/2017/04/23/ai)里,我指出了“自动编程”的不可能性。今天我想来谈谈一个相关的话题:以太坊式的智能合约的形式验证。有些人声称要实现基于“深度学习”的,自动的智能合约形式验证(formal verification),用于确保合约的正确性。然而今天我要告诉你的是,跟自动编程一样,完全自动的合约验证
区块链智能合约形式化验证平台 VaaS 讲解
GitChat
07-03 2899
DAO、Parity、BEC 等著名项目的市值几乎一夜归零,都是由于智能合约漏洞引起,智能合约究竟是什么?如何针对这些安全问题进行防范?本场 Chat 将会对交互进行详解。 本场 Chat 主要内容为: 智能合约是什么? 黑客是如何攻击交易所的智能合约形式化验证如何保障合约安全? VaaS 平台的作用及优势? 实际案例展示。 关键词:智能合约形式化验证,VaaS 平台,安全漏洞。...
数字藏品指南系列第五篇:验证智能合约
洋滔的博客
03-06 1万+
数字藏品指南系列第五篇,使用remix验证智能合约,区块浏览器上执行合约方法。
智能合约验证签名
code_segment的博客
04-15 9187
以太坊(ethereum)中使用了ECDSA签名算法,该算法基于椭圆曲线实现。 同时,智能合约编程语言solidity 也提供了签名和验证签名的操作:1、签名签名使用web3.eth.sign(),比如利用web3.js:var account = web3.eth.accounts[0]; var sha3Msg = web3.sha3("blockchain"); var signedData
区块链平台技术要求:智能合约与共识机制解析
- 区块链平台必须提供智能合约服务,支持高效可靠的自动执行合同; - 提供运行智能合约的环境,如虚拟机; - 宜支持多方共识下的合约升级,保证系统的灵活性和适应性。 这些规定旨在构建一个安全、可靠且高效的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值